单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2015/11/4,#,财政业务专网网络安全接入规范,讲解,财政业务专,网网络安全接入规范,MOF,财政业务专,网网络安全接入规范,MOF,规范,产生背景,网络接入方式及选择原则,网络接入安全,安全管理,财政业务专网网络架构,制定,规范,原则,产生背景,自,2002,年金财工程启动以来，财政系统逐步建立了财政业务专网，纵向实现了中央到省、市、县、乡的四级纵向网络连接，横向实现了和同级预算单位、代理银行、人民银行等单位的网络连接，财政业务专网已经成为财政业务开展的基础支撑。,财政业务专,网网络安全接入规范,MOF,现有财政业务专网的定位,业务方面：,要满足对财政业务的支撑，纵向到底，横行到边，是支撑财政业务运行的主体网络。,安全方面：,非涉密网络，不能处理涉密信息；非社会公开信息，敏感信息（工作秘密）；等级保护三级；与互联网物理隔离。,财政业务专,网网络安全接入规范,MOF,原有财政业务专网存在的问题,业务发展与安全要求产生的矛盾,业务要求网络连接要方便，用户在哪，网络到哪，网络不断扩展。,安全强度不能降低，信息不能外泄、业务数据不能被篡改，完整性、准确性要保证；与互联网物理隔离。,原有标准与新技术发展产生的矛盾,移动联网技术、安全数据交换技术、各种,VPN,技术等为突破原有标准提供可能。,财政业务专,网网络安全接入规范,MOF,原有财政业务专网存在的问题,各省根据业务开展的需要，已经进行了各种尝试，接入方式各种各样，网络连接方式比较多，不规范，安全性受到较大影响。,如何既要满足,财政业务对,网络不断扩大,和,外延的需求，同时还要保证,业务系统的安全,，成为急需解决的问题。,财政业务专,网网络安全接入规范,MOF,接入规范要解决的主要问题,一是,解决规范性问题，二是解决业务需要与安全需要再平衡问题,规范,各级,财政业务专网与其它网络、不同类型用户的连接及数据交换行为，更好地满足财政业务,安全运行的,需要。,财政业务专网网络安全接入规范,（财信办,20152,号）,2015,年,3,月,27,日印发,财政业务专,网网络安全接入规范,MOF,适用范围,本规范适用于各级财政部门业务专网的网络接入和数据交换，是各级财政部门开展网络建设和网络运行管理工作的依据。,财政业务专,网网络安全接入规范,MOF,财政业务专,网网络安全接入规范,MOF,规范,产生背景,网络接入方式及选择原则,网络接入安全,安全管理,财政业务专网网络架构,制定,规范,的原则,原则,可控性原则：,边界可控、数据交换可控,可管理性原则：,对接入的用户有管理措施,可,用性原则：,方案可行，措施可操作,安全性原则：,对终端、网络、应用和数据有安全保护措施,规范性原则：,符合国家相关法律、政策和标准,财政业务专,网网络安全接入规范,MOF,财政业务专,网网络安全接入规范,MOF,规范,产生背景,网络接入方式及选择原则,网络接入安全,安全管理,财政业务专网网络架构,制定,规范,的原则,财政业务专网网络拓扑结构,财政业务专网采用树形网络结构为主，纵向上主要由各级财政部门按垂直的上下级模式连接成广域骨干网络，由财政部连接全国,37,个省、自治区、直辖市及计划单列市财政厅（局），新疆生产建设兵团财务局，并向下覆盖到地市、区县、乡镇财政部门,。,财政纵向网络涵盖财政部、省、市、县、乡财政部门，财政部到各省、自治区、直辖市、计划单列市财政部门的网络构成一级纵向骨干网，省级财政部门到各地市财政部门构成二级纵向骨干网，地市财政部门到县级财政部门为三级纵向骨干网，县级财政网络延伸到乡镇财政所为四级纵向网。,财政业务专,网网络安全接入规范,MOF,纵向网络,财政业务专网在横向上以各级财政部门为中心向同级预算单位、代理银行和信息资源共享部门等辐射连接，形成该级的城域接入网。各单位通过点对网连接模式或网对网连接模式横向连接到财政业务专网。,横向网络分为财政部接入网络、省级财政接入网络、地市级接入网络、县级接入网络，分别与本级的预算单位、人民银行、代理商业银行及其他有关单位等外部单位进行网络互接,。,按照财政业务需要，人民银行、代理商业银行也可以省级或者市级网络为统一节点进行网络互接。乡级网络原则只限于内部局域网络，不外接其他单位。,财政业务专,网网络安全接入规范,MOF,横向网络,财政业务专网,纵向、横向连接示意图,财政业务专,网网络安全接入规范,MOF,财政部业务专网，纵向接入区下联全国,36,个省、自治区、直辖市及计划单列市财政厅（局）和新疆生产建设兵团财务局，并通过纵向接入区连接财政部派驻,35,个省市财政监察专员办事处；横向接入区连接中央预算单位、人民银行总行、代理商业银行、信息资源共享部门；内外网数据交换区完成与财政业务外网、外部其他单位非实时的数据交换业务。,财政部业务专网,财政业务专,网网络安全接入规范,MOF,中央预算单位,接入模式：,网对网,；,或点对网。,人民银行总行、代理商业银行,接入模式：,网对网。,中央信息资源共享部门,接入模式：,网对网。,财政部业务专网,财政业务专,网网络安全接入规范,MOF,省、市、县各级财政业务专网，纵向上连上级财政部门业务专网，下连下级财政部门业务专网，横向连接各级预算单位、人民银行、代理商业银行、非税执收单位和信息资源共享部门。,内外网数据交换区完成与财政业务外网、外部其他单位非实时的数据交换业务。,省市县财政部门业务专网,财政业务专,网网络安全接入规范,MOF,地方本级预算单位,（包括,执收单位,）接入模式：,网点,网；,或,点,对网。,人民银行、代理商业银行,接入模式：,网对网。,下一步，财政业务系统将逐步向省级集中模式过渡，省级财政部门与省级人民银行、代理商业银行直接连接，地市县级,财政和相应的人行、商行,不再直连。各省可根据本省业务实际情况确定网络连接架构，并逐步向省级集中模式过渡。,地方本级信息资源共享部门,接入模式：,网对网。,省市县财政部门业务专网,财政业务专,网网络安全接入规范,MOF,应根据安全和应用需求,情况,，合理划分,局域网的,安全区域。应,至少,包括核心交换区、纵向接入区、横向接入区、内外网数据交换区、安全管理区以及其它业务区。,横向接入区,：,实现横向连接单位的网络接入、安全防护、应用访问、与内部网络的隔离与信息交换；,纵向接入区,：,实现财政内部上下级用户的网络接入、安全防护、应用访问。,内外网数据交换区,：,财政业务外网与财政业务专网进行数据交换和数据共享时，应在两者之间建立内外网数据交换区，通过安全隔离与信息交换系统，实现两网之间的双向可控数据交换。,财政专网局域网,财政业务专,网网络安全接入规范,MOF,规范,产生背景,网络接入方式及选择原则,网络接入安全,安全管理,财政业务专网网络架构,制定,规范,的原则,财政业务专,网网络安全接入规范,MOF,1、专线,专线是指在广域或城域连接中使用光纤，或者租用运营商,SDH/MSTP,、,DWDM,链路、,PTN,等进行互联的专用线路。,xDSL,等其他接入方式不属于专线。,2、电子政务网络,本规范所称电子政务网络是指国家电子政务外网和各级党政部门已建成的非涉密专网。,3、MPLS,（,Multi Protocol Label Swiching,）,VPN网络,MPLS VPN,网络是指运营商利用,MPLS VPN,技术提供的,虚拟专线,服务，,其,安全性、可靠性低于专线。,4、VPDN,（,Virtual Private Dial-up Networks,）,网络,VPDN,虚拟专用拨号网是运营商基于,L2TP,等技术为客户提供的一种相对可控的,拨号,接入方式。这种接入方式可以提供对终端的认证功能，数据经过隧道传输。,VPDN,方案的终端接入方式可以采用有线接入，也可以采用,3G,、,4G,无线接入。,VPDN,适合地点分散和人员分散，对线路的保密和可用性有一定要求的固定和移动用户。,网络接入方式,VPDN,建立过程,LAC,LNS,Corporate,LAN,L2TP,Network,Server,L2TP,Access,Concentrator,Internet,电话网/,ATM/IP,PC,L2TP Tunnel,第一层,radius,第二层,radius,(1),(2),(4),(5),(6),(7),(8),(9),用户发起与,LAC,之间的,PPP,连接；,LAC,通过,Radius,对用户进行第一层,Radius,认证，对域名进行认证；,Radius,根据域名返回对应的隧道属性，包括,LNS IP,、隧道类型、隧道密码等；,LAC,根据隧道属性向,LNS,发起建立隧道请求；,LAC,与,LNS,间建立,L2TP,隧道；,在隧道中为用户建立,Session，LAC,把和用户协商得到的,LCP,选项和验证信息送给,LNS,；,LNS,向二层,Radius,发起对用户帐号,/,密码的认证，并为用户分配,IP,地址；,Radius,认证通过返回相关信息给,LNS,；,LNS,为用户反馈,IP,地址及相关信息；,(3),财政业务专,网网络安全接入规范,MOF,用户类型及接入场景,接入方式,专线,电子政务网络,运营商,MPLS VPN,VPDN,财政系统用户纵向连接,部到省,省到地市、地市到区县,区县到乡镇,财政系统用户远程办公,外部用户横向连接,中央一级预算单位,中央基层预算单位,地方各级预算单位,人民银行,代理银行,信息资源共享部门,财政业务专,网网络安全接入规范,MOF,财政内部用户：,各级财政纵向互联时采用,专线或电子政务网络等,方式,。,通过,电子政务外网,互联时要在,专用网络区进行连接。,外部用户：,财政横向连接,的,主要,是外部用户，包括,预算单位、人民银行、代理商业银行、信息资源共享部门等,。,各级,人民银行、代理商业银行,采用专线等作为网络连接链路。,中央一级预算单位及中央信息资源共享部门,采用专线、电子政务网络接入,。,中央基层预算单位,采用专线、电子政务网络或者,VPDN,等方式接入,。,地方各级预算单位,可采用专线、电子政务网络、运营商,MPLS VPN,或者,VPDN,等方式接入。,接入方式的选择,财政业务专,网网络安全接入规范,MOF,规范,产生背景,网络接入方式及选择原则,网络接入安全,安全管理,财政业务专网网络架构,制定,规范,的原则,财政业务专,网网络安全接入规范,MOF,网络接入安全,终端安全,链路安全,边界安全,认证安全,应用安全,安全产品必须国产自主可控,财政业务专,网网络安全接入规范,MOF,终端安全,内部终端,财政内部用户,终端计算机,应采取以下措施：,（,1,）专机专用，不得连接互联网及其它网络，严禁处理涉密信息。,（,2,）应安装,统一,的客户端安,全管理软件，,启用,实名制注册,、安全,准入,、,防范违规外联,、,补丁升级,功能,。,（,3,）应安装,统一,的杀毒软件，并确保病毒库及时更新，防范恶意代码。,（,4,）加强移动存储介质管理，严控数据输入输出，防止数据泄漏。,财政业务专,网网络安全接入规范,MOF,终端安全,内部终端,便携计算机，应采取以下措施：,（,1,）采取共享限制、强制锁屏、密码强度控制,、系统加固,等措施。,（,2,）采用,VPDN,方式,时,，,3G/4G,上网卡应与用户绑定，并采取相应技术措施，确保终端只能访问财政业务专网。,（,3,）应安装客户端安全管理软件进行安全管理。,（,4,）终端接入时应使用财政数字证书进行用户身份认证。,（,5,）应采用加密、沙盒等技术对数据进行保护，防止数据泄漏。原则上数据不允许落地。,财政业务专,网网络安全接入规范,MOF,终端安全,内部终端,平板电脑或手机终端，应采取以下措施：,（,1,）原则上应使用专用的,APP,访问财政业务,系统,。,（,2,）应采用加密、沙盒等技术对数据进行保护，防止数据泄漏。原则上数据不允许落地。,（,3,）采用,VPDN,方式,时，,